Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

017 - Ir a la línea de ayuda en Ciberseguridad    Ir a Agenda     Ir a Sala de prensa     Ir a suscripción de boletines

Ir al buscador

Vulnerabilidades

Con el objetivo de informar, advertir y ayudar a los profesionales sobre las ultimas vulnerabilidades de seguridad en sistemas tecnológicos, ponemos a disposición de los usuarios interesados en esta información una base de datos con información en castellano sobre cada una de las ultimas vulnerabilidades documentadas y conocidas.

Este repositorio con más de 75.000 registros esta basado en la información de NVD (National Vulnerability Database) – en función de un acuerdo de colaboración – por el cual desde INCIBE realizamos la traducción al castellano de la información incluida. En ocasiones este listado mostrará vulnerabilidades que aún no han sido traducidas debido a que se recogen en el transcurso del tiempo en el que el equipo de INCIBE realiza el proceso de traducción.

Se emplea el estándar de nomenclatura de vulnerabilidades CVE (Common Vulnerabilities and Exposures), con el fin de facilitar el intercambio de información entre diferentes bases de datos y herramientas. Cada una de las vulnerabilidades recogidas enlaza a diversas fuentes de información así como a parches disponibles o soluciones aportadas por los fabricantes y desarrolladores. Es posible realizar búsquedas avanzadas teniendo la opción de seleccionar diferentes criterios como el tipo de vulnerabilidad, fabricante, tipo de impacto entre otros, con el fin de acortar los resultados.

Mediante suscripción RSS o Boletines podemos estar informados diariamente de las ultimas vulnerabilidades incorporadas al repositorio.

Vulnerabilidad en ABB Mint Workbench (CVE-2024-5402)
Fecha de publicación:
15/07/2024
Idioma:
Español
Vulnerabilidad de elemento o ruta de búsqueda sin comillas en ABB Mint Workbench. Un atacante local que aprovechara con éxito esta vulnerabilidad podría obtener privilegios elevados insertando un archivo ejecutable en la ruta del servicio afectado. Este problema afecta a las versiones de Mint Workbench I: desde 5866 antes de 5868.
Gravedad CVSS v3.1: ALTA
Última modificación:
19/07/2024

Vulnerabilidad en NaiboWang EasySpider 0.6.2 (CVE-2024-6746)
Fecha de publicación:
15/07/2024
Idioma:
Español
Una vulnerabilidad fue encontrada en NaiboWang EasySpider 0.6.2 en Windows y clasificada como problemática. Una función desconocida del archivo \EasySpider\resources\app\server.js del componente HTTP GET Request Handler es afectada por esta vulnerabilidad. La manipulación con la entrada /../../../../../../../../../Windows/win.ini conduce al path traversal: '../filedir'. El ataque debe realizarse dentro de la red local. El exploit ha sido divulgado al público y puede utilizarse. A esta vulnerabilidad se le asignó el identificador VDB-271477. NOTA: El encargado del código explica que esto no es un gran problema "porque el valor predeterminado es que el software se ejecuta localmente sin pasar por Internet".
Gravedad CVSS v3.1: ALTA
Última modificación:
19/07/2024

Vulnerabilidad en code-projects Simple Ticket Booking 1.0 (CVE-2024-6745)
Fecha de publicación:
15/07/2024
Idioma:
Español
Una vulnerabilidad clasificada como crítica ha sido encontrada en code-projects Simple Ticket Booking 1.0. Una función desconocida del archivo adminauthenticate.php del componente Login es afectada por esta vulnerabilidad. La manipulación del argumento correo electrónico/contraseña conduce a la inyección de SQL. Es posible lanzar el ataque de forma remota. El exploit ha sido divulgado al público y puede utilizarse. El identificador de esta vulnerabilidad es VDB-271476.
Gravedad CVSS v3.1: CRÍTICA
Última modificación:
19/07/2024

Vulnerabilidad en Mail2000 de Openfind (CVE-2024-6741)
Fecha de publicación:
15/07/2024
Idioma:
Español
Mail2000 de Openfind tiene una vulnerabilidad que permite omitir el indicador HttpOnly. Los atacantes remotos no autenticados pueden aprovechar esta vulnerabilidad utilizando código JavaScript específico para obtener la cookie de sesión con el indicador HttpOnly habilitado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/07/2024

Vulnerabilidad en Mattermost Mobile Apps (CVE-2024-32945)
Fecha de publicación:
15/07/2024
Idioma:
Español
Las versiones de Mattermost Mobile Apps <= 2.16.0 no protegen contra el abuso de un estado MathJax compartido globalmente que permite a un atacante cambiar el contenido de una publicación de LateX mediante la creación de otra publicación con definiciones de macro específicas.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/07/2024

Vulnerabilidad en Mattermost Mobile Apps (CVE-2024-39767)
Fecha de publicación:
15/07/2024
Idioma:
Español
Las versiones de Mattermost Mobile Apps <= 2.16.0 no pueden validar que las notificaciones automáticas recibidas para un servidor en realidad provienen de este servicio, lo que permite a un servidor malicioso enviar notificaciones automáticas con el ID de diagnóstico o la URL del servidor de otro servidor y hacer que aparezcan en el dispositivo móvil aplicaciones como las notificaciones push de ese servidor.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/07/2024

Vulnerabilidad en SWG (CVE-2024-6398)
Fecha de publicación:
15/07/2024
Idioma:
Español
Una vulnerabilidad de divulgación de información en SWG en las versiones 12.x anteriores a 12.2.10 y 11.x anteriores a 11.2.24 permite que la información almacenada en una página de bloqueo personalizable se divulgue a sitios web de terceros debido a la omisión de la política del mismo origen de los navegadores en ciertos escenarios. El riesgo es bajo, porque otras políticas de seguridad predeterminadas recomendadas, como la categorización de URL y GTI, están implementadas en la mayoría de las políticas para bloquear el acceso a sitios web sin categorizar o de alto riesgo. Cualquier información divulgada depende de cómo los clientes hayan personalizado las páginas de bloqueo.
Gravedad CVSS v3.1: MEDIA
Última modificación:
19/07/2024

Vulnerabilidad en kernel de Linux (CVE-2024-41007)
Fecha de publicación:
15/07/2024
Idioma:
Español
En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: tcp: evitar demasiados paquetes de retransmisión Si un socket TCP está usando TCP_USER_TIMEOUT y el otro par retrajo su ventana a cero, tcp_retransmit_timer() puede retransmitir un paquete cada dos santiamén (2 ms). para HZ=1000), durante aproximadamente 4 minutos después de que TCP_USER_TIMEOUT haya 'expirado'. La solución es asegurarse de que tcp_rtx_probe0_timed_out() tenga en cuenta icsk->icsk_user_timeout. Antes de el commit culpable, el socket no expiraba después de icsk->icsk_user_timeout, sino que usaba un retroceso exponencial estándar para las retransmisiones. También vale la pena señalar que antes de commit e89688e3e978 ("net: tcp: fix unexcepted socket die cuando snd_wnd es 0"), el problema duraría 2 minutos en lugar de 4.
Gravedad CVSS v3.1: BAJA
Última modificación:
03/11/2025

Vulnerabilidad en Mail2000 de Openfind (CVE-2024-6740)
Fecha de publicación:
15/07/2024
Idioma:
Español
Mail2000 de Openfind no valida adecuadamente los archivos adjuntos de correo electrónico, lo que permite a atacantes remotos no autenticados inyectar código JavaScript dentro del archivo adjunto y realizar ataques de Cross-site Scripting Almacenado.
Gravedad CVSS v3.1: MEDIA
Última modificación:
16/07/2024

Vulnerabilidad en Apache Linkis = 1.4.0 (CVE-2023-41916)
Fecha de publicación:
15/07/2024
Idioma:
Español
En Apache Linkis = 1.4.0, debido a la falta de filtrado efectivo de parámetros, un atacante que configure parámetros maliciosos de Mysql JDBC en el módulo DataSource Manager activará la lectura de archivos arbitrarios. Por lo tanto, los parámetros en la URL JDBC de Mysql deben estar en la lista negra. Este ataque requiere que el atacante obtenga una cuenta autorizada de Linkis antes de poder llevarse a cabo. Las versiones de Apache Linkis = 1.4.0 se verán afectadas. Recomendamos a los usuarios actualizar la versión de Linkis a la versión 1.5.0.
Gravedad CVSS v3.1: MEDIA
Última modificación:
14/03/2025

Vulnerabilidad en Apache Linkis <= 1.5.0 (CVE-2023-46801)
Fecha de publicación:
15/07/2024
Idioma:
Español
En Apache Linkis <= 1.5.0, el módulo de administración de fuentes de datos, al agregar una fuente de datos Mysql, existe una vulnerabilidad de ejecución remota de código para la versión de Java <1.8.0_241. La vulnerabilidad de deserialización explotada mediante jrmp puede inyectar archivos maliciosos en el servidor y ejecutarlos. Este ataque requiere que el atacante obtenga una cuenta autorizada de Linkis antes de poder llevarse a cabo. Recomendamos que los usuarios actualicen la versión de Java a >= 1.8.0_241. O los usuarios actualizan Linkis a la versión 1.6.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
01/08/2024

Vulnerabilidad en Apache Linkis <= 1.5.0 (CVE-2023-49566)
Fecha de publicación:
15/07/2024
Idioma:
Español
En Apache Linkis <= 1.5.0, debido a la falta de un filtrado efectivo de parámetros, un atacante que configure parámetros db2 maliciosos en el módulo DataSource Manager resultará en una inyección de jndi. Por lo tanto, los parámetros en la URL de DB2 deben estar en la lista negra. Este ataque requiere que el atacante obtenga una cuenta autorizada de Linkis antes de poder llevarse a cabo. Las versiones de Apache Linkis <=1.5.0 se verán afectadas. Recomendamos a los usuarios actualizar la versión de Linkis a la versión 1.6.0.
Gravedad CVSS v3.1: ALTA
Última modificación:
27/03/2025
Suscribirse a Vulnerabilidades